Fra kontroll til ansvarlighet

Fra kontroll til ansvarlighet

Det nye personvernregelverket legger vekten på ansvarlighet fremfor forhåndskontroll fra Datatilsynet. Ansvaret for at personopplysninger behandles riktig ligger hos virksomheten.

Dagens krav til internkontroll og informasjonssikkerhet

Krav til internkontroll og informasjonssikkerhet i dagens personopplysningslov er konkrete og handler om at virksomheter skal utføre planlagte og systematiske tiltak. Dette er også regulert i personopplysningsforskriften.

Prinsippene om ansvar, integritet og konfidensialitet

Et av de viktige prinsippene for det nye personvernregelverket er at det er virksomheten som bruker personopplysningene som har ansvar for at personvernprinsippene overholdes. Dette innebærer at virksomheten skal kunne vise at de behandler personopplysninger i tråd med personvernprinsippene.

Behandlingsansvarlig skal blant annet å sørge for tilstrekkelig og forholdsmessig sikkerhet, at personopplysningene er sikret mot uautorisert eller ulovlig behandling eller utilsiktet tap, ødeleggelse eller skade.

Dette er nedfelt i artikkel 5 i det nye regelverket.

Forskjellen fra dagens regelverk er at det blir mindre forhåndskontroll ved at melde- og konsesjonspliktene forsvinner. Men det er også en viktig endring at ansvaret blir plassert hos virksomheten. Det kommer flere og til dels tydeligere rettigheter og plikter, og det blir krav om å iverksette risikobaserte tiltak. Mer etterkontroll kan medføre strengere sanksjoner om man ikke har «orden i eget hus».

Dette er regulert i artikkel 25 om innebygd personvern, artikkel 35 om vurdering av personvernkonsekvenser og artikkel 36 om forhåndsdrøftelse.

Internkontroll, rutiner og oversikt

Dagens krav om internkontroll blir erstattet av formuleringer om den behandlingsansvarliges ansvar. Virksomhetene skal sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre at personopplysninger behandles i samsvar med regelverket. Dersom det blir behov for det, skal de tiltakene man har valgt endres og oppdateres.

Disse kravene er regulert i artikkel 24.

Slik som i dag, så må man ha rutiner for å ivareta de registrertes rettigheter. Rettighetene til de registrerte finnes i hovedsak i artiklene 12-23.

Et krav som er nytt er kravet til å ha oversikt over behandlingsaktiviteter. Selv om denne plikten er ny, finnes en plikt til å ha oversikt over behandlinger også i dagens regelverk (personopplysningsforskriften § 2-4). Plikten gjelder både for den behandlingsansvarlige og for databehandler. En slik oversikt skal være skriftlig og elektronisk, og skal være tilgjengelig for Datatilsynet dersom vi krever det.

Pliktene knyttet til informasjonssikkerhet henger sammen med virksomhetens internkontroll. Man må kjenne sin virksomhet og sine verdier for å kunne vite hva man skal sikre og hvordan. Uten en internkontroll og en oversikt over personopplysninger, kan man ikke gjøre en reell vurdering avrisiko.

Denne plikten er regulert i artikkel 30.

Den behandlingsansvarlige skal ha oversikt over

  1. navn og kontaktinformasjon til den behandlingsansvarlige, og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet
  2. formålene med behandlingen
  3. en beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger
  4. kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, som mottakere i tredjestater eller internasjonale organisasjoner
  5. hvilke tredjestater eller internasjonale organisasjoner opplysningene skal overføres til og dokumentasjon på nødvendige garantier (hvis relevant).
  6. dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger.
  7. dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som er etablert.

Det kreves at databehandleren har en tilsvarende oversikt med noen få unntak.

Databehandlerens oversikt skal inneholde

  1. navn og kontaktinformasjon til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av
  2. navn og kontaktinformasjon til, den behandlingsansvarliges eller databehandlerens representant og personvernombud (hvis relevant)
  3. kategoriene av behandling utført på vegne av hver behandlingsansvarlig,
  4. hvilke tredjestater eller internasjonale organisasjoner opplysningene skal overføres til og dokumentasjon på nødvendige garantier (hvis relevant)
  5. dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som er etablert.

Det er viktig å nevne her at behandlingsansvarlige må inngå databehandleravtale med hver databehandler.

Krav til innhold i en slik avtale er beskrevet i artikkel 28.

For å lage en oversikt over hvilke personopplysninger dere behandler, kan dere ta utgangspunkt i malen som finnes på side 13 i internkontrollveilederen etter dagens regelverk, og tilføye det som er nytt etter det kommende regelverket. 

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll

Hva blir nytt i 2018?

Vi har laget en veiledning for virksomheter om de nye personvernreglene som trer i kraft i mai 2018. Vi har også laget en liste med punkter som oppsummerer hva som blir nytt, samt hva virksomhetene bør gjøre nå.

Hva blir nytt i 2018?